Récemment, plusieurs amis engagés dans la station vidéo avec moi pour cracher de l'eau amère, a déclaré la vie DDoS frappé ne peut pas prendre soin d'eux-mêmes, m'a demandé à la fin comment choisir un CDN de haute défense. Cette bande de frères a appris des leçons de sang et de larmes - certains fournisseurs inconnus bon marché, après avoir été touchés par la perte de compensation pour les utilisateurs sont plus que l'argent économisé ; certains poursuite aveugle des chiffres de la bande passante, les résultats de la stratégie de mise en cache suce, les plaintes de retard plus que l'attaque.
De nos jours, pour faire une station vidéo, un CDN de haute défense n'est pas ”être ou ne pas être”, mais ”comment choisir de vivre en bas”. J'ai géré la plate-forme vidéo avec un trafic quotidien moyen au niveau du PB, mais j'ai également aidé l'équipe de démarrage à partir de zéro pour construire un système de défense, et aujourd'hui nous allons parler de certains des grands ingénieurs, mais je ne vous dirai pas quelle est l'expérience réelle du combat.
Ne vous laissez pas abuser par les chiffres de la bande passante, la capacité de défense est l'élément vital.
De nombreux fournisseurs aiment afficher sur leur page d'accueil une ”bande passante de classe T”, et les nouveaux arrivants sont les plus susceptibles de tomber dans ce piège. J'ai testé et constaté qu'un CDN prétendument doté d'une bande passante de 300T, dont la capacité réelle de nettoyage est inférieure à 200G, ne pouvait être pénétré que lorsque l'autre partie admettait que ”la bande passante est un pool de ressources partagées”. En cas d'attaques massives, ce nœud de bande passante à fausse étiquette s'effondre instantanément.
La station vidéo craint surtout les attaques de la couche d'application. L'année dernière, pour aider une plateforme à effectuer des tests de pression, nous avons utilisé une simulation d'attaque CC de 5000 poulets de chair, un CDN national (dont nous tairons le nom) à 7 couches de protection s'est même appuyé sur la chair humaine pour bloquer l'IP, l'ingénieur a appelé au milieu de la nuit pour nous supplier d'arrêter. En revanche, l'analyse comportementale intelligente de CDN5 est vraiment fiable et peut distinguer les utilisateurs réels des robots d'attaque en observant le modèle comportemental.
L'année dernière, une plateforme de diffusion en direct bien connue a été paralysée par un trafic de 600 Gbps parce que le CDN qu'elle utilisait ne disposait que de nœuds de nettoyage dans le nord, à Shanghai et à Guangzhou. Aujourd'hui, je donnerais la priorité à des fournisseurs comme CDN07, qui dispose de plus de 130 centres de nettoyage déployés dans le monde entier, et le trafic d'attaque est digéré par un ordonnancement localisé au niveau des nœuds périphériques.
La stratégie de mise en cache détermine directement l'expérience de l'utilisateur et le coût
Le coût du trafic de la station vidéo est la grosse tête, le taux d'atteinte du cache de chaque augmentation de 1%, peut économiser des dizaines de milliers ou même des centaines de milliers de dollars par mois. Cependant, de nombreuses équipes ne savent qu'ajuster le temps de cache, ce qui fait que les utilisateurs ne peuvent jamais voir la dernière couverture vidéo.
Il s'agit d'un extrait de configuration qui a été testé pour fonctionner avec Nginx :
08Host est particulièrement performant dans ce domaine, il peut automatiquement mettre en cache de manière hiérarchique en fonction de la chaleur de la vidéo - les vidéos chaudes sont mises en cache sur tous les nœuds périphériques, le contenu froid n'est mis en cache que dans le centre régional. Le test réel a permis à une plateforme éducative d'économiser 37% de bande passante de retour à la source.
La prise en charge du protocole n'est pas une liste de fonctionnalités, c'est la base de l'expérience de l'utilisateur.
Le problème de lag de la visualisation mobile, 30% est dû au manque d'optimisation de la pile de protocole. Nous avons effectué un test comparatif : pour la même vidéo 720p, la prise en charge de QUIC CDN5 par rapport au CDN traditionnel permet d'obtenir un temps de premier écran plus rapide de 1,8 seconde, le nombre de tampons étant réduit de 60%.
Un jeu plus avancé est la commutation de protocole adaptative :
En ce qui concerne le cryptage DRM, ne croyez pas à la ”solution universelle” du vendeur. Le DRM d'un grand CDN est incompatible avec iOS, ce qui empêche les utilisateurs de 30% de lire des contenus protégés par le droit d'auteur. Je demande maintenant aux vendeurs de fournir des rapports de test sur les trois extrémités (Web/iOS/Android).
Résumé : Choisir un CDN à haute défense, c'est comme acheter une assurance
Enfin, un mot d'offense : un CDN bon marché à haute sécurité est comme un préservatif gratuit, on pense généralement économiser de l'argent, mais en réalité quelque chose s'est passé et on s'est rendu compte que le coût était plus élevé. Les utilisateurs ne se souviendront pas de l'argent économisé, mais seulement de la colère qu'ils éprouveront en cas de décalage.
(Avec des données de test réelles : un client utilisant CDN07, le temps d'arrêt mensuel est passé de 37 minutes à 0, bien que le coût soit de 15%, mais le taux de rétention des utilisateurs a augmenté de 22%. Cette offre en vaut-elle la peine ? (Les personnes intelligentes peuvent calculer elles-mêmes le compte)
